Uma campanha maliciosa que aparenta ser operada do Brasil já atingiu pelo menos sete países da América Latina com um vírus que rouba e-mails e credenciais bancárias. O cavalo de Tróia Horabot está circulando desde novembro de 2020 e tem foco amplo, podendo atingir desde usuários finais até empresas de variadas verticais.
De acordo com análise da empresa de segurança Cisco Talos, são dois os alvos dos ataques, que chegam por e-mails fraudulentos. Em primeiro lugar estão os bancos, com o vírus sendo capaz de furtar credenciais de acesso a contas e serviços financeiros, bem como dados digitados, tokens e até códigos de verificação em duas etapas, assim como informações do dispositivo usado e sistema operacional para quer a fraude se complete do lado dos criminosos.
Na sequência vem o comprometimento da caixa de entrada do Outlook, o que evidencia o foco corporativo do Horabot. Contatos e endereços de comunicações recentes são furtados para disseminação da campanha maliciosa, que também usa o próprio endereço da vítima para propagar o vírus, a partir de falsas mensagens comerciais com anexos maliciosos.
Com foco no Windows, o ataque do Horabot envolve múltiplos estágios, com o uso de PowerShell para download do vírus e o carregamento de DLLs que o ativam. Tudo começa, porém, com um e-mail relacionado a questões tributárias, com poucas palavras e sem nenhuma sofisticação — o uso de conversas em andamento serve para aumentar a legitimidade do golpe e tentar induzir à abertura de um arquivo HTML anexado.
Uma vez instalado na máquina, o malware tenta evitar a detecção por plataformas de segurança enquanto busca a caixa de entrada e informações desejadas, enviando tudo a um servidor sob o comando dos bandidos. A Cisco Talos chama a atenção para o uso de infraestruturas reconhecidas, como os serviços de nuvem da Amazon, para disponibilização do vírus e recebimento das informações, também servindo como forma de evitar suspeitas por sua legitimidade.
A atenção aos e-mails é essencial para escapar de fraudes desse tipo. Sempre desconfie de mensagens com arquivos anexos, mesmo que elas venham de contatos conhecidos, e somente abra os arquivos caso tenha certeza da procedência. Ter antivírus e plataformas de segurança instaladas no PC também ajuda a flagrar golpes desse tipo.
- 27 3535-2002 / 99252-2002
- R. Dr Jairo de Matos Pereira, 600, Ed Praia Corporate - Vila Velha - ES